von Steffen Nicolai, Gruppenleiter und stellv. Abteilungsleiter „Energiesysteme“ beim Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB), Institutsteil Angewandte Systemtechnik (AST), und Projektleiter des Lernlabors Cybersicherheit in der Energie- und Wasserversorgung

IT-Sicherheit schützt auch Wasser- und Stromnetze

25.9.2019

Energie- und Wasserversorger müssen ihrer IT-Sicherheit und ihren Informationssicherheitsmanagementsystemen (ISMS) weit mehr Beachtung schenken als früher. Das hat nicht nur Konsequenzen für die IT-Sicherheitsbeauftragten, die natürlich tiefgehendes Spezialwissen besitzen und aktuell halten müssen. Auch Fernwirktechniker, Mitarbeiter in Leitwarten und Stationen oder Energiedatenmanager benötigen zusätzliches Know-how. Steffen Nicolai, Gruppenleiter und stellv. Abteilungsleiter „Energiesysteme“ beim Fraunhofer IOSB, Institutsteil Angewandte Systemtechnik (AST), und Projektleiter des Lernlabors Cybersicherheit in der Energie- und Wasserversorgung, erklärt in seinem Blogbeitrag die unterschiedlichen IT-Sicherheits-Anforderungen im Bereich der Energie- und Wasserversorgung.

Energie- und Wasserversorger müssen ihrer IT-Sicherheit und ihren Informationssicherheitsmanagementsystemen (ISMS) weit mehr Beachtung schenken als früher. Das hat nicht nur Konsequenzen für die IT-Sicherheitsbeauftragten, die natürlich tiefgehendes Spezialwissen besitzen und aktuell halten müssen. Auch Fernwirktechniker, Mitarbeiter in Leitwarten und Stationen oder Energiedatenmanager benötigen zusätzliches Know-how. Denn wenn Leitwarten, Stationen oder Erzeugungsanlagen IP-basiert kommunizieren und ihre Systeme Teil des IT-Systems sind, dann werden sie darüber potentiell angreifbar. So können auch über klassische Malware-Kampagnen eingeschleuste, spezialisierte Trojaner und Viren sie angreifen. Damit entstehen durch das gesamte Unternehmen hindurch auch bei Fachkräften aus anderen Bereichen Schnittstellen zu IT-Sicherheitsthemen.

Um sich dafür zu wappnen, benötigen Mitarbeiterinnen und Mitarbeiter nicht nur allgemeine Schulungen, um ein Gefahrenbewusstsein zu entwickeln. Je nach Tätigkeitsbereichen kommen auch konkrete neue Aufgaben im Bereich der IT-Sicherheit auf sie zu. Wenn etwa die früher abgeschottete Kommunikationsinfrastruktur eines Umspannwerks nun IP-basiert mit der Leitstelle kommuniziert, müssen auch die Techniker dort wissen, wie sie eine Firewall für ihre Systeme administrieren, wie sie sicher eingerichtet und konfiguriert wird.

Die Funktionsweisen von Firewalls sind hier allerdings etwas anders geartet als bei der typischen Netzwerktechnik, da in der Fernwirktechnik und bei Automatisierung in Versorgungsinfrastrukturen spezielle Kommunikationsprotokolle zum Einsatz kommen. Auch der Schutz von Switches funktioniert auf der Prozessebene anders. Hier beschränkt sich die Angriffsmöglichkeit nicht nur auf die Kommunikation an sich, sondern auch auf die übermittelten Prozessdaten bis hin zu Schaltbefehlen für die Versorgungsinfrastruktur. Und im Ernstfall müssen die Mitarbeiter wissen, wie sie externe Systemabschaltungen verhindern können.

 

Regelmäßige Weiterbildung hält Sicherheitsstandard hoch

Prinzipiell, und das soll deutlich gesagt sein, sind die Versorgungsinfrastrukturen in Deutschland sehr sicher. Damit das so bleibt, sollten Unternehmen ihre Mitarbeiterinnen und Mitarbeiter aber entsprechend in IT-Sicherheit weiterbilden. Denn wenn quasi täglich neue Varianten von Viren, Trojanern und anderen Schadprogrammen gefunden werden, machen diese auch vor Versorgungs- und Prozessinfrastrukturen in dieser Branche zukünftig nicht halt.

Da sich die Berührungspunkte und Anforderungen im jeweiligen Feld unterscheiden, ist es für Unternehmen ratsam, verschiedene Weiterbildungs- und Schulungsprogramme für ihre Mitarbeiter je nach deren Einsatzgebiet zu nutzen: In der Breite empfehlen sich Awareness-Schulungen. Zudem sollten Führungskräfte und Mitarbeiter sensibilisiert werden, um entsprechende Sicherheitskonzepte organisatorisch zu entwickeln und umzusetzen. Denn es geht auch darum, Risiken erkennen und bewerten zu können, damit das Unternehmen sich richtig gegen Bedrohungsszenarien absichern kann.

Auf der operativen Ebene fallen dann für die IT-Mitarbeiter, Fernwirktechniker oder Energiedatenmanager unterschiedliche Aspekte an: Fernwirktechniker etwa sollten lernen, wie sie ihre Automatisierungssysteme sicher konfigurieren. Die Energiedatenmanager dagegen sehen sich in ihrem Alltag mit Kundendaten konfrontiert – was bedeutet, dass sie die Regeln der Datenschutzgrundverordnung zum Umgang mit personenbezogenen Daten beherzigen müssen.

 

Modulares Seminarangebot ermöglicht individuellen Kompetenzaufbau

Die Fraunhofer Academy bietet in Zusammenarbeit mit dem Fraunhofer IOSB-AST für Versorgungsunternehmen aus den Bereichen Strom, Gas, Wasser und Abwasser ein modulares Seminarangebot an, dessen Inhalte sich zu individuellen Lernpfaden kombinieren lassen – und die verschiedenen notwendigen Kompetenzbereiche von Awareness bis hin zur Konfiguration von Netzwerken und Komponenten abdeckt. So können Unternehmen für ihre unterschiedlichen Mitarbeiter die passenden Programme als Inhouse-Schulungen zusammenstellen.

Besonderer Fokus wurde in diesem Zusammenhang auf die Entwicklung sehr praxisnaher Schulungsmodule gelegt. Hierbei kommt neben der im Fraunhofer IOSB-AST nachempfundenen Infrastruktur eines Versorgungsunternehmens in den Inhouse-Schulungen eine mobile Schulungsplattform zur Nachbildung von typischen Angriffs- und Verteidigungsszenarien zum Einsatz. Ein Modell, das bei Kunden gut ankommt: „Das Hands-On Cybersecurity Intensivtraining nach unseren Vorgaben in enger Zusammenarbeit mit dem Fraunhofer IOSB-AST stellt eine effektive Ergänzung im Rahmen des Mitarbeitertrainings für eine aktive Cyberverteidigung dar“, sagt etwa Arslan Brömme, National Information Security Officer Germany bei Vattenfall.